Jak skonfigurować sensor XDR Active Directory

W tym artykule opiszemy jak skonfigurować sensor XDR Active Directory

Sensor AD zbiera i przetwarza informacje o zdarzeniach logowania w lokalnym Active Directory. 

Wymagania Sensora Active Directory

• BEST z rolą EDR jest zainstalowany na każdym kontrolerze domeny w domenach, które chcesz monitorować
• Wszystkie polityk w Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies z wyjątkiem Global Object Access Auditing muszą być ustawione do audytowania wszystkich zdarzeń logowania. 

Konfiguracja polityki Active Directory

1. Otwórz konsolę Group policy management.

2. Przejdź do struktury swojej domeny > Domain Controllers i wybierz Default Domain Controllers Policy.

3. Kliknij prawym przyciskiem myszy w Default Domain Controllers Policy i wybierz Edit. Wyświetli Ci się okno Computer Configuration. 

4. Przejdź do Audit Policies: Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies.

5. Skonfiguruj wszystkie polityki wewnątrz Audit Policies z wyjątkiem Global Object Access Auditing, tak jak pokazano poniżej.

6. Zastosuj zmiany.

7. Otwórz wiersz polecenia z prawami administratora i wykonaj komendę gpupdate /force, aby wymusić natychmiastową aktualizację ustawień. 

Konfiguracja sensorów Active Directory

1. Przejdź do Konfiguracja > Zarządzanie sensorami.

2. Kliknij Integruj obok Sensora Active Directory.

3. Sprawdź czy spełniasz wszystkie wymagania.

4. Wybierz domenę, którą chcesz monitorować. 

5. Kliknij Zastosuj.

Źródło: https://www.bitdefender.com/business/support/en/77209-151141-edr-configuration.html#UUID-bc3f7a39-ccf0-b887-42fa-8ee46e21a7b8